¿Alguien te mira? Expertos advierten sobre grave falla de seguridad en la tarjeta Bip!

Autor: La Tercera

Según un análisis de la ONG Derechos Digitales, la criptografía utilizada en las tarjetas Bip y los sitios que albergan los datos no es adecuada para resguardar los información privada de los usuarios.

La ONG Derechos Digitales ha publicado un informe en donde dan a conocer que la tecnología que poseen las tarjetas Bip (incluyendo la TNE) no tienen un nivel de seguridad adecuado para resguardar los datos personales de los usuarios del transporte público de Santiago.

En el informe, publicado el día de ayer y disponible en la web, demuestran cómo, debido a que la llave para acceder a la información de la tarjeta mediante tecnología NFC está disponible en Internet, es posible acceder a los datos por medio de sitios web y así saber los recorridos, lugares de carga, las estaciones de metro, y todos la información referente a los viajes que realiza una persona en los últimos tres meses.

Con estos datos, señalan, es muy fácil que un acosador pueda saber exactamente los lugares que frecuenta una persona, incluso de menores de edad por medio de su TNE, sus horarios, las estaciones de metro, los buses, dónde y cuánto dinero carga en su tarjeta.

LA LLAVE A LA TARJETA BIP

Según detallan en el informe, el problema principal de la tecnología utilizada en las tarjetas Bip actuales es que “para economizar costos, la criptografía usada es mala”. El sistema criptográfico se llama Crypto-1, el cual es “privado y cerrado” y su seguridad se basa únicamente en mantener en secreto su funcionamiento. Por esto, mediante ingeniera inversa, el algoritmo fue “quebrado” y ahora la llave para acceder a los datos se encuentra disponible en la web.

“Que la llave para leer y escribir en las tarjetas sea de público conocimiento significa que cualquier persona con un lector NFC puede atacar de distintas formas a una persona determinada. Por ejemplo, se puede seguir a alguien y obtener su número de tarjeta (y los datos personales de las tarjetas en el caso de la TNE)”, señalan en el informe.

RECORRIDOS

En base a la información que se puede adquirir, el informe demuestra que se puede obtener los recorridos más usuales computando los patrones de movimiento. “Es posible saber si durante los últimos tres meses, por ejemplo, una persona X tomó el metro a la estación A entre 8am y 9am, 34 veces; y 28 veces a la estación B entre 6pm y 7pm”, advierten.

Gracias a los datos, es posible saber mucha información sobre una persona, como sus hábitos, lugares favoritos, actividades profesionales y personales: “A partir de las pruebas que realizamos, pudimos constatar que la computación de estos datos muestra cerca a qué estación de metro vive una persona, o trabaja o frecuenta. Además los movimientos son muy representativos del estilo de vida de alguien. Se puede inferir si la persona tiene un trabajo o no, si le se gusta salir tarde en la noche o en fin de semana, por ejemplo”.

En el informe se incluyen algunas recomendaciones para que el Ministerio de Transportes mejore el sistema, indicando que esperan que las nuevas tarjetas Bip sigan ofreciendo la posibilidad de viajar de manera anónima y “a tener en cuenta la privacidad de sus usuarios y aprender de los errores del antiguo sistema que están enumerados en este reporte”.

 

 

Seguir leyendo